Säkerhet för datalagerhantering i Microsoft Fabric
Gäller för:
SQL-slutpunkt och informationslager i Microsoft Fabric
Den här artikeln beskriver säkerhetsämnen för att skydda SQL-slutpunkten för lakehouse och lagret i Microsoft Fabric.
Viktigt
Microsoft Fabric är en förhandsversion.
Information om Microsoft Fabric-säkerhet finns i Säkerhet i Microsoft Fabric.
Information om hur du ansluter till SQL-slutpunkten och informationslagret finns i Anslutning.
Åtkomstmodell för informationslager
Microsoft Fabric-behörigheter och detaljerade SQL-behörigheter fungerar tillsammans för att styra informationslageråtkomsten och användarbehörigheterna när de är anslutna.
- Informationslageranslutningen är beroende av att microsoft fabric read-behörighet beviljas minst för lagret.
- Microsoft Fabric-objektbehörigheter gör det möjligt att ge en användare SQL-behörighet utan att behöva bevilja dessa behörigheter i SQL.
- Microsoft Fabric-arbetsyteroller ger Microsoft Fabric-behörigheter för alla lager på en arbetsyta.
- Detaljerade användarbehörigheter kan hanteras ytterligare via T-SQL.
Arbetsyteroller
Arbetsyteroller används för samarbete med utvecklingsteamet på en arbetsyta. Rolltilldelning avgör vilka åtgärder som är tillgängliga för användaren och gäller för alla objekt på arbetsytan.
- En översikt över Microsoft Fabric-arbetsyteroller finns i Roller i arbetsytor.
- Anvisningar om hur du tilldelar arbetsyteroller finns i Ge arbetsyteåtkomst.
Mer information om de specifika informationslagerfunktionerna som tillhandahålls via arbetsyteroller finns i Arbetsyteroller i Informationslager för infrastrukturresurser .
Säkerhet på objektnivå
Arbetsyteroller och objektbehörigheter är ett enkelt sätt att tilldela grova behörigheter till en användare för hela lagret. I vissa fall behövs dock mer detaljerade behörigheter för en användare. För att uppnå detta kan standard-T-SQL-konstruktioner användas för att ge specifika behörigheter till användare.
Mer information om hur du hanterar detaljerade behörigheter i SQL finns i DETALJERADE SQL-behörigheter .
Vägledning
När du utvärderar behörigheterna för att tilldela till en användare bör du överväga följande vägledning:
- Endast teammedlemmar som för närvarande samarbetar med lösningen bör tilldelas till arbetsyteroller (Admin, medlem, deltagare), eftersom detta ger dem åtkomst till alla objekt på arbetsytan.
- Om de främst kräver skrivskyddad åtkomst tilldelar du dem till rollen Läsare och beviljar läsbehörighet för specifika objekt via T-SQL. Mer information finns i Hantera detaljerade SQL-behörigheter.
- Om de är användare med högre privilegier tilldelar du dem till Admin-, medlems- eller deltagarroller. Lämplig roll är beroende av de andra åtgärder som de behöver utföra.
- Andra användare, som bara behöver åtkomst till ett enskilt lager eller endast behöver åtkomst till specifika SQL-objekt, bör ges behörigheter för infrastrukturobjekt och beviljas åtkomst via SQL till de specifika objekten.
- Du kan också hantera behörigheter för Azure Activity Directory-grupper i stället för att lägga till varje specifik medlem.